Devil Robber

Written by codeluux

devil-iconMac OsX işletim sistemlerine yönelik bir tehdit olan Devil Robber hedef bilgisayarda arka kapı bırakarak, saldırgan tarafından bitcoin üretim makinasına (miner) çevrilmesi için oluşturulmuştur. Bittorent uygulaması üzerinden ya da manuel olarak herhangi internet kaynağından gelebilir. Zararlı dosya, sıkıştırılmış olarak arch.zip ile birlikte gelir. Ardından startup.sh isimli shell scriptini işlevlerini hedefinde gerçekleştirmek adına çalıştırmaktadır.

  • Adı : Backdoor Devil Robber
  • Keşif tarihi : 28.10.2011
  • Diğer isimleri : Miner-D, Coinbitminer, Coinmine,Merin.1,Clodee
  • Tipi: Trojan
  • Seviye : Düşük
  • Platform : MacOsX

Hedef bilgisayarda çalıştığında aşağıdaki dosyaları oluşturur:

  • $HOME/Library/mdsa1331/mdsa
  • $HOME/Library/mdsa1331/polipo
  • $HOME/Library/mdsa1331/acab.sh
  • $HOME/Library/mdsa1331/status.cfg

Akabinde öncesinde beraberinde gelen arch.zip isimli dosyayı siler. $HOME/Library/LaunchAgents/com.apple.legion.plist dosyasını modifiye ederek Apple uygulaması (Graphic Converter, Flux, CorelPainter) şeklinde kendisini bilgisayarın açılışına yerleştirir ve artık saldırganın bitcoin üretimi için bilgisayar kaynaklarını kullanmaya başlar. Ayrıca $HOME/Library/mdsa1331/status.cfg içerisine bilgisayardan almış olduğu ekran görüntülerinin logunu kaydeder. Disk içerisinde bulunan Truecrypt, pthc, Vidalia isimli dosyaları arayarak bilgilerini $HOME/Library/mdsa1331/dump.txt dosyasına kaydeder. Kullanıcının ayrıca bilgisayar üzerinde bir bitcoin hesabı varsa bunu araştırır ve yine aynı dump.txt dosyasına kaydeder. Son olarak 1900 portunu açar.

F-Secure tarafından yeni tespit edilen Devil Robber V.3 varyantı ise PixelMator uygulama adını kullanmaktadır. Eski formunda olduğu gibi backdoor ile birlikte gelmemekte bunun yerine remote FTP sunucusundan backdoor scriptini çekmektedir. d_status.cfg isimli dosyayı kendi klasörü içinde oluşturarak, başlatıcıyı ftp sunucusu üzerinden indirip binary.zip olarak kaydetmektedir. Öncekinde olduğu gibi ekran görüntüsü almamaktadır. Ancak yine öncekinden farklı olarak 1Password uygulaması içeriğini, shell komutlarını, sistem log dosyasını kaydettiği tespit edilmiştir. Ayrıca öncekinden farklı olarak LittleSnitch güvenlik duvarının olup olmadığına bakar ve eğer işletim sistemi üzerinde var olduğunu tespit ederse, temiz PixelMator uygulamasını kurar. (-Ne kadar ilginç değil mi?) Ayrıca farklı varyantların; mdsa, startup.sh, DiabloMiner, minerd, miner.sh, polipo, polipo.cfg, acab.sh gibi scriptleri farklı amaçlar doğrultusunda çalıştırdığı tespit edilmiştir. 34123, 9000 ya da 34522 ve 34321 portlarını açarak bağlantıya geçtiği anlaşılmaktadır.

Yorum bırakın